PBR+NAT

[nerik]

Коллеги, добрый день.
Может найдется кто поможет, заранее спасибо. Схему прилагаю. Есть удаленный сервис в сети Интернет, с которым на ПК работает коллега. На микротике (ROS 7.15.3) есть до него маршрут, но указывает в сторону cisco, где есть второй провайдер (ip route add dst-address=f.f.f.89/32 gateway=192.168.66.2). Время от времени когда "пропадает" второй провайдер на cisco ставится дефолтный маршрут обратно через второй интерфейс, т.е. трафик до f.f.f.89/32 уходит через гейт 192.168.130.1 обратно в микротик, чтобы потом пойти до первого провайдера (некий резерв). А так как маршрут на микротике уже есть обратно на cisco, то необходимо использовать PBR.
Создаем отдельную таблицу ip route add dst-address=0.0.0.0/0 gateway=x.x.x.121 routing-table=prov1 и рулим трафик с 4 интерфейса в эту таблицу routing rule add action=lookup interface=ether4 table=prov1
Но вот беда, этот трафик не натится через первого провайдера. Правило для ната в микротике стандартное ip firewall nat add action=src-nat chain=srcnat out-interface-list=WAN src-address=192.168.0.0/16 to-addresses=x.x.x.122, не срабатывает при PBR. Хотелось бы понять почему не натит и что можно применить.
P.S. Не спрашивайте почему такая кривая схема, она на самом деле упрощенная. Перестраивать нет возможности, поэтому нужно обойтись функционалом микротик, т.к. если была бы cisco, то там нат не такой "вредный", чтобы обязательно приходил обратный трафик на тот же интерфейс.

[Chupaka]

Правило для ната в микротике стандартное ip firewall nat add action=src-nat chain=srcnat out-interface-list=WAN src-address=192.168.0.0/16 to-addresses=x.x.x.122

Оно, возможно, стандартно корявое, другого стандарта я ему не подберу. Стандартное - это, скорее, ip firewall nat add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=x.x.x.122. Вряд ли вам надо адреса не из 192.168.0.0/16 выплёвывать в провайдера без натирования.

не срабатывает при PBR. Хотелось бы понять почему не натит и что можно применить.

Cisco не может натировать этот трафик перед тем, как обратно переслать? В Packet Sniffer или Torch смотрели, например? Если он не попадает в результате в подсеть из предыдущего пункта - он и не натируется. Можете для проверки добавить ниже правила НАТ такое же, только без src-address и с включенным логированием и посмотреть на результат.

если была бы cisco, то там нат не такой "вредный", чтобы обязательно приходил обратный трафик на тот же интерфейс.

Не совсем понимаю, о какой вредности вы говорите, у меня в RouterOS таких ограничений нет Тут ещё, кстати, может влиять и фильтр файрвола. Поскольку у вас трафик проходит через роутер два раза, могут быть нюансы с Connection Tracking. Так что проследите за пакетами по всему пути, чтобы понимать, куда и в каком виде они доходят - и от этого уже можно плясать дальше.

[nerik]

> Вряд ли вам надо адреса не из 192.168.0.0/16 выплёвывать в провайдера без натирования
Может появится такая возможность.

> Cisco не может натировать этот трафик перед тем, как обратно переслать?
Это будет совсем другой нат. Как cisco будет знать ip-адрес, который дает "первый" провайдер.

> Можете для проверки добавить ниже правила НАТ такое же, только без src-address и с включенным логированием и посмотреть на результат.
Не помогает. Отсутствие src-address в nat-правиле никак не влияет на ситуацию

> Не совсем понимаю, о какой вредности вы говорите
Я говорю о том, что если трафик с nat выйдет с интерфейса ether3, то микротику фиолетово что он вернулся от провайдера с интерфейса ether8. Ему обязательно нужно чтобы он пришел в ether3. И вот тут возникает проблема. У cisco такой привязанности нет.

[Chupaka]

> Cisco не может натировать этот трафик перед тем, как обратно переслать?
Это будет совсем другой нат. Как cisco будет знать ip-адрес, который дает "первый" провайдер.

Я имел в виду, не происходит ли так сейчас, и это мешает?

> Не совсем понимаю, о какой вредности вы говорите
Я говорю о том, что если трафик с nat выйдет с интерфейса ether3, то микротику фиолетово что он вернулся от провайдера с интерфейса ether8. Ему обязательно нужно чтобы он пришел в ether3. И вот тут возникает проблема. У cisco такой привязанности нет.

Ну, на семёрке я с такими конфигами не сталкивался, но в шестой версии такое (несимметричный трафик с натом) нормально отрабатывало. И вообще я не вижу причин, почему такое ограничение должно существовать - в Connection Tracking не светятся интерфейсы, только адреса-порты всякие

[nerik]

> Я имел в виду, не происходит ли так сейчас, и это мешает?
Нет, нет. Там ната нет, он работает дальше (там еще сеть, неуказанная на схеме) для второго провайдера.

> но в шестой версии такое (несимметричный трафик с натом) нормально отрабатывало
Интересно. Стоит откатиться и проверить?

> почему такое ограничение должно существовать - в Connection Tracking не светятся интерфейсы, только адреса-порты всякие
Вот тоже не понятно, но другой причины я предположить не могу. Могу весь конфиг скинуть для анализа.

[Chupaka]

Так что проследите за пакетами по всему пути, чтобы понимать, куда и в каком виде они доходят - и от этого уже можно плясать дальше.